Descobrir práticas recomendadas do Azure Key Vault
O Azure Key Vault é uma ferramenta para armazenar e acessar segredos de forma segura. Um segredo é tudo a que você deseja controlar rigorosamente o acesso, como certificados, senhas ou chaves de API. Um cofre é um grupo lógico de segredos.
Autenticação
Para realizar operações com o Key Vault, primeiro você precisará autenticar-se a ele. Existem três maneiras de autenticar-se ao Key Vault:
Identidades gerenciadas para recursos do Azure: ao implantar um aplicativo em uma máquina virtual no Azure, você pode atribuir uma identidade a sua máquina virtual que tem acesso ao Key Vault. Atribua também identidades a outros recursos do Azure. O benefício dessa abordagem é que o aplicativo ou serviço não gerencia o giro do primeiro segredo. O Azure gira automaticamente o segredo do cliente da entidade de serviço associado à identidade. Recomendamos essa abordagem como melhor prática.
Entidade de serviço e certificado: você pode usar uma entidade de serviço e um certificado associado que tem acesso ao Key Vault. Não recomendamos essa abordagem, porque o proprietário ou desenvolvedor do aplicativo deve girar o certificado.
Entidade de serviço e segredo: embora seja possível, nós não recomendamos usar uma entidade de serviço e um segredo para autenticar-se ao Key Vault. É difícil girar automaticamente o segredo de inicialização usado para se autenticar ao Key Vault.
Criptografia de dados em trânsito
O Azure Key Vault impõe o protocolo TLS para proteger dados quando eles estão viajando entre o Azure Key Vault e os clientes. Os clientes negociam uma conexão TLS com o Azure Key Vault. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de adulteração, interceptação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
O PFS protege as conexões entre os sistemas cliente dos clientes e os serviços em nuvem da Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação dificulta a interceptação e o acesso a dados que estão em trânsito.
Melhores práticas do Azure Key Vault
Usar cofres de chaves separados: é recomendado usar um cofre por aplicativo por ambiente (Desenvolvimento, Pré-Produção e Produção). Esse padrão ajuda você a não compartilhar segredos entre ambientes e também reduz a ameaça em caso de uma violação.
Controlar o acesso ao cofre: os dados do Key Vault são confidenciais e comercialmente críticos, você precisa proteger o acesso aos cofres de chaves permitindo apenas aplicativos e usuários autorizados.
Backup: crie backups regulares do cofre na atualização/exclusão/criação de objetos dentro de um cofre.
Registro em log: certifique-se de ativar o registro em log e os alertas.
Opções de recuperação: Ative a exclusão temporária e a proteção contra limpeza se você quiser se proteger contra a exclusão forçada do segredo.